“¡Habla el Rey del Caos Digital! ‘Tank’, el hacker más explosivo del bajo mundo, cuenta desde la cárcel cómo las ciberbandas mandan fuego en la red”

Tras años leyendo sobre Tank y meses planeando una visita a su prisión en Colorado, oigo el clic de la puerta al abrirse antes de verlo entrar.

Me levanto, listo para saludar formalmente a este antiguo capo del cibercrimen.

Pero, como un personaje de dibujos animados pícaro, asoma la cabeza por detrás de una columna con una enorme sonrisa y me guiña un ojo.

Tank, cuyo nombre real es Vyacheslav Penchukov, ascendió a la cima del mundo del hampa cibernética no tanto por su destreza técnica, sino por su carisma.

"Soy un tipo simpático, hago amigos fácilmente", dice el ucraniano de 39 años con una amplia sonrisa.

Pasó casi 10 años en la lista de los más buscados del FBI y fue líder de dos bandas distintas en dos periodos diferentes de la historia del cibercrimen.

Es raro hablar con un ciberdelincuente de tan alto nivel que ha dejado tantas víctimas a su paso; Penchukov nos concedió una entrevista de seis horas a lo largo de dos días como parte de la serie de podcasts Cyber ​​Hack: Evil Corp.

Las autoridades necesitaron más de 15 años para finalmente lograr arrestar a Penchukov en una dramática operación en Suiza en 2022.

"Había francotiradores en el tejado y la policía me tiró al suelo, me esposó y me puso una bolsa en la cabeza en plena calle, delante de mis hijos. Estaban asustados", recuerda con resentimiento.

Todavía guarda rencor por la forma en que fue arrestado, argumentando que fue excesivo.

Sus miles de víctimas en todo el mundo discreparían rotundamente: Penchukov y las bandas que lideró o de las que formó parte les robaron decenas de millones de dólares.

A finales de la década de 2000, él y la tristemente célebre banda Jabber Zeus utilizaron tecnología revolucionaria de ciberdelincuencia para robar directamente de las cuentas bancarias de pequeñas empresas, ayuntamientos e incluso organizaciones benéficas.

Las víctimas vieron cómo sus ahorros desaparecían y sus balances se desmoronaban. Tan solo en Reino Unido, hubo más de 600 víctimas, que perdieron más de 4 millones de libras (unos US$5,2 millones) en apenas tres meses.

Entre 2018 y 2022, Penchukov apuntó más alto, uniéndose al floreciente ecosistema del ransomware con bandas que atacaban a corporaciones internacionales e incluso a un hospital.

En el Centro Correccional de Englewood, donde Penchukov está recluido, no nos permitieron ingresar con ningún equipo de grabación, así que un productor y yo tomamos notas durante la entrevista bajo la vigilancia de un guardia cercano.

De los videojuegos al cibercrimen

Lo primero que llama la atención de Penchukov es que, aunque está ansioso por salir en libertad, se le ve de buen ánimo y claramente aprovecha al máximo su tiempo en prisión.

Me cuenta que practica mucho deporte, que está aprendiendo francés e inglés -un diccionario ruso-inglés muy usado permanece a su lado durante toda la entrevista- y que está obteniendo varios diplomas de bachillerato.

Debe de ser inteligente, le sugiero. "No lo suficiente; estoy en la cárcel", bromea.

Englewood es una prisión de baja seguridad con buenas instalaciones. El edificio, de poca altura pero extenso, se encuentra en las estribaciones de las Montañas Rocosas en Colorado.

Los bordes de hierba polvorientos que rodean la prisión están repletos de ruidosos perritos de la pradera que corretean a sus madrigueras cada vez que los perturban los vehículos de la prisión que van y vienen.

Está muy lejos de Donetsk, Ucrania, donde Tank dirigió su primera banda de ciberdelincuentes tras iniciarse en el hackeo a través de foros de trucos para videojuegos, donde buscaba información sobre cómo conseguir trampas para sus juegos favoritos como FIFA 99 y Counter-Strike.

Se convirtió en el líder del prolífico grupo Jabber Zeus, llamado así por el uso que hacían del revolucionario malware Zeus y de su plataforma de comunicación preferida, Jabber.

Penchukov trabajaba con un pequeño grupo de hackers, entre ellos Maksim Yakubets, un ruso que posteriormente sería sancionado por el gobierno estadounidense, acusado de liderar el infame grupo cibernético Evil Corp.

Penchukov afirma que, a finales de la década de 2000, el grupo Jabber Zeus operaba desde una oficina en el centro de Donetsk, dedicando jornadas de seis a siete horas a robar dinero a víctimas en el extranjero.

Penchukov solía terminar el día pinchando música en la ciudad bajo el nombre de DJ Slava Rich.

Según él, en aquella época el cibercrimen era dinero fácil. Los bancos no sabían cómo combatirlo y la policía de Estados Unidos, Ucrania y Reino Unido no daba abasto.

Cuando tenía veintipocos años, ganaba tanto dinero que se compraba autos nuevos como si fueran ropa. Tenía seis en total, todos de alta gama y fabricados en Alemania.

Pero la policía dio un golpe de efecto cuando logró interceptar las conversaciones de texto de los delincuentes en Jabber y descubrió la verdadera identidad de Tank gracias a los detalles que había revelado sobre el nacimiento de su hija.

La red se estrechó contra el grupo Jabber Zeus y una operación del FBI llamada Trident Breach culminó con detenciones en Ucrania y Reino Unido.

Pero Penchukov logró escapar gracias a un aviso de una persona que prefiere permanecer en el anonimato. Y gracias a uno de sus autos deportivos.

"Tenía un Audi S8 con un motor Lamborghini de 500 caballos, así que cuando vi las luces de la policía por el retrovisor, me salté el semáforo en rojo y los dejé atrás fácilmente. Me dio la oportunidad de probar toda la potencia de mi auto", dice.

Se mantuvo oculto con un amigo durante un tiempo, pero cuando el FBI se retiró de Ucrania, las autoridades locales parecieron perder interés en él.

Así que Penchukov siguió sin llamar la atención y, según cuenta, se reformó. Montó una empresa de compraventa de carbón, pero el FBI seguía tras su pista.

"Estaba de vacaciones en Crimea cuando recibí un mensaje de un amigo que había visto que me habían incluido en la lista de los más buscados del FBI. Pensé que me había librado de todo, pero entonces me di cuenta de que tenía un nuevo problema", relata, con un eufemismo evidente.

Su abogado de entonces se mostró tranquilo y le aconsejó que no se preocupara: mientras no viajara fuera de Ucrania o Rusia, la policía estadounidense no podía hacer mucho.

Las autoridades ucranianas finalmente se presentaron en su domicilio, pero no para arrestarlo.

Penchukov había sido identificado como un hacker adinerado buscado por Occidente y alega que, casi a diario, funcionarios lo extorsionaban.

Su negocio de venta de carbón iba bien hasta la invasión rusa de Crimea en 2014.

Los llamados "hombrecitos verdes" del presidente Putin -soldados rusos sin distintivos- arruinaron su negocio y unos misiles impactaron su apartamento en Donetsk, dañando la habitación de su hija.

El auge del ransomware

Penchukov afirma que fueron los problemas comerciales y los constantes sobornos a funcionarios ucranianos lo que lo llevaron a volver a encender su computadora portátil y retomar su vida de ciberdelincuente.

"Simplemente decidí que era la forma más rápida de ganar dinero para pagarles", afirma.

Su trayectoria refleja la evolución del cibercrimen moderno: desde el robo rápido y sencillo de cuentas bancarias hasta el ransomware, el tipo de ciberataque más pernicioso y dañino de la actualidad, utilizado este año en ataques de gran repercusión, como el de la emblemática cadena británica Marks & Spencer.

Explica que el ransomware era más laborioso, pero la ganancia era buena. "La ciberseguridad había mejorado mucho, pero aun así lográbamos ganar unos US$200.000 al mes. Beneficios mucho mayores", comenta.

En una anécdota reveladora, recuerda los rumores que surgieron sobre un grupo que recibió US$20 millones de un hospital paralizado por un ataque de ransomware.

Penchukov cuenta que la noticia entusiasmó a los cientos de hackers de los foros delictivos, quienes luego atacaron instituciones médicas estadounidenses para repetir la hazaña.

Estas comunidades de hackers tienen una "mentalidad de rebaño", dice: "A la gente no le importa el aspecto médico; lo único que ven es que se pagan US$20 millones".

Penchukov reconstruyó sus contactos y habilidades hasta convertirse en uno de los principales miembros de servicios de ransomware, como Maze, Egregor y el prolífico grupo Conti.

Cuando se le preguntó si estos grupos criminales colaboraban con los servicios de seguridad rusos -una acusación frecuente en Occidente- Penchukov se encogió de hombros y respondió: "Por supuesto".

Dijo que algunos miembros de bandas de ransomware a veces hablaban de comunicarse con "sus contactos" en los servicios de seguridad rusos, como el FSB.

La BBC escribió a la embajada de Rusia en Londres para preguntar si el gobierno ruso o sus agencias de inteligencia colaboraban con ciberdelincuentes para facilitar el ciberespionaje, pero no obtuvo respuesta.

Penchukov pronto volvió a ascender y se convirtió en líder de IcedID, una banda que infectó más de 150.000 computadoras con software malicioso y llevó a cabo diversos tipos de ciberataques, incluido el ransomware.

Penchukov dirigía un equipo de hackers que analizaban las computadoras infectadas para determinar la mejor manera de obtener beneficios económicos.

Una de las víctimas del ataque con ransomware en 2020 fue el Centro Médico de la Universidad de Vermont en Estados Unidos. Según la Fiscalía estadounidense, esto ocasionó pérdidas por más de US$30 millones e impidió que el centro médico prestara servicios esenciales a los pacientes durante más de dos semanas.

Aunque no hubo fallecidos, la Fiscalía afirma que el ataque, que inhabilitó 5.000 computadoras del hospital, supuso un riesgo de muerte o lesiones graves para los pacientes.

Penchukov niega haber sido el autor del ataque y alega que solo lo admitió para reducir su condena.

En general, Penchukov, que desde entonces ha cambiado su apellido a Andreev, considera que las dos condenas de nueve años que cumple simultáneamente son excesivas para lo que hizo (espera salir mucho antes).

También se le ha ordenado pagar US$54 millones en concepto de indemnización a las víctimas.

Incredulidad y horror

Su perspectiva, como joven hacker que se inició en el cibercrimen en la adolescencia, es que las empresas y las personas occidentales podían permitirse perder dinero y que, de todos modos, todo estaba cubierto por el seguro.

Pero al hablar con una de sus primeras víctimas de la época de Jabber Zeus, queda claro que sus ataques sí tuvieron un impacto negativo en personas inocentes.

Lieber’s Luggage, un negocio familiar en Albuquerque, Nuevo México, sufrió el robo de US$12.000 de un solo golpe por parte de la banda. La dueña, Leslee, aún recuerda la conmoción años después.

"Fue una experiencia de incredulidad y horror cuando nos llamó el banco, porque no teníamos ni idea de lo que había pasado, y el banco, evidentemente, tampoco", comenta.

Aunque era una suma modesta, resultó devastadora para el negocio, ya que el dinero se utilizaba para pagar el alquiler, comprar mercancía y pagar a los empleados.

No tenían ahorros a los que recurrir y, para colmo, la anciana madre de Leslee era la encargada de la contabilidad de la empresa y se culpó a sí misma hasta que se descubrió el robo.

"Sentimos de todo: rabia, frustración, miedo", dice.

Cuando les pregunto qué les gustaría decirles a los hackers responsables, creen que es inútil intentar cambiar la mentalidad de estos delincuentes insensibles.

"No hay nada que podamos decirle que le afecte", apunta Leslee.

"Ni siquiera le dedicaría un minuto", añade su marido, Frank.

Penchukov dice que no pensó en las víctimas, y parece que tampoco lo hace ahora.

El único atisbo de remordimiento en nuestra conversación fue cuando habló de un ataque de ransomware contra una organización benéfica para niños con discapacidad.

Su único arrepentimiento parece ser haber confiado demasiado en sus compañeros hackers, lo que finalmente provocó su captura y la de muchos otros delincuentes.

"En el cibercrimen no se puede hacer amigos, porque al día siguiente los arrestarán y se convertirán en informantes", indica.

"La paranoia es una compañera constante de los hackers", añade. Pero el éxito conlleva errores.

"Si te dedicas al cibercrimen durante mucho tiempo, pierdes tu agudeza", sostiene con nostalgia.

Como para subrayar la deslealtad que impera en el mundo del cibercrimen, Penchukov afirma que evitó deliberadamente todo contacto con su antiguo colaborador y amigo de Jabber Zeus, Maksim Yakubets, después de que este último fuera expuesto y sancionado en 2019 por las autoridades occidentales.

Penchukov comenta que notó un cambio significativo en la comunidad hacker, ya que muchos evitaban trabajar con Yakubets y varios de sus presuntos socios de Evil Corp.

Anteriormente, Penchukov y Aqua, como se conocía a Yakubets, solían frecuentar Moscú para beber y comer en restaurantes de lujo. "Tenía guardaespaldas, lo cual me pareció extraño; casi como si quisiera presumir de su riqueza", declara.

Sin embargo, el ostracismo en el mundo del cibercrimen no disuadió a Evil Corp, y el año pasado, la Agencia Nacional contra el Crimen de Reino Unido acusó a otros miembros de la familia Yakubets de estar involucrados en la ola de delitos que duró una década, sancionando a un total de 16 miembros de la organización.

Pero a diferencia de Penchukov, las probabilidades de que la policía lo detenga a él o a otros miembros de la banda parecen escasas.

Con una recompensa de US$5 millones por información que conduzca a su arresto, es poco probable que Yakubets y sus presuntos cómplices repitan el error de Penchukov de abandonar el país.